Konfiguration der ARP-Inspektionseigenschaften (Address Resolution Protocol) auf ESW2-350G-Switches

Download-Optionen

  • PDF     (206.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (180.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (296.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:11. Dezember 2018
Dokument-ID:SMB4087

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfiguration der ARP-Inspektionseigenschaften (Address Resolution Protocol) auf ESW2-350G-Switches

Ziel

Das Address Resolution Protocol (ARP) wird verwendet, um eine IP-Adresse in die MAC-Adresse des Ziels aufzulösen. Dies wird auf Layer 2 des OSI-Modells ausgeführt. Es verwendet eine Nachschlagetabelle (ARP-Cache), um die IP-Adresse in der MAC-Adresszuordnung zu speichern. ARP Inspection wird verwendet, um eine Vergiftung des ARP-Cache zu verhindern. Die Vergiftung des ARP-Cache kann dazu führen, dass nicht autorisierte Benutzer den Netzwerkverkehr steuern und abfangen.

In diesem Artikel wird die Konfiguration der ARP-Inspektionskonfiguration für ESW2-350G-Switches erläutert.

Anwendbare Geräte

· ESW2-350G
· ESW2-350G-DC

Softwareversion

· v1.2.6.28

ARP-Inspektionseigenschaften einrichten

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > ARP Inspection > Properties aus. Die Seite Eigenschaften wird geöffnet:

Schritt 2: Aktivieren Sie im Feld ARP Inspection Status (ARP-Inspektionsstatus) die Option Enable (Aktivieren), um die ARP-Inspektionsfunktion zu aktivieren. Diese Funktion ist standardmäßig deaktiviert.

Hinweis: Die ARP-Prüfung wird nur an nicht vertrauenswürdigen Schnittstellen durchgeführt. Pakete von vertrauenswürdigen Schnittstellen werden weitergeleitet. 

Schritt 3: Aktivieren Sie im Feld ARP Packet Validation (ARP-Paketvalidierung) die Option Enable (Aktivieren), um die Paketvalidierung in ARP zu aktivieren. Diese Funktion ist standardmäßig deaktiviert. Wenn dieses Feld markiert ist, werden die folgenden Werte mit den vorhandenen Datenbanken verglichen, um externe Angriffe zu verhindern:

· Quell-MAC - Die Quell-MAC-Adresse des Pakets im Ethernet-Header wird mit der MAC-Adresse des Absenders in der ARP-Anfrage verglichen. Diese Prüfung wird sowohl für ARP-Anfragen als auch für Antworten durchgeführt.

· Ziel-MAC - Die Ziel-MAC-Adresse des Pakets im Ethernet-Header wird mit der MAC-Adresse der Zielschnittstelle verglichen. Diese Prüfung wird nur für ARP-Antworten durchgeführt.

· IP-Adressen - Dieser Parameter vergleicht den ARP-Dateninhalt mit ungültigen und unerwarteten IP-Adressen. IP-Adressen umfassen 0.0.0.0, 255.255.255.255 und alle IP-Multicast-Adressen.

Hinweis: ARP Inspection verwendet außerdem eine DHCP-Snooping-Binding-Datenbank (sofern DHCP-Snooping aktiviert ist), um zusätzlich zu den Zugriffskontrollregeln die IP-Adresse des Pakets zu überprüfen. Weitere Informationen finden Sie im Artikel DHCP Snooping Binding Database Configuration on ESW2-350G Switches.

Schritt 4: Klicken Sie im Feld Log Buffer Interval (Protokollpuffer-Intervall) auf eines der Optionsfelder:

· Häufigkeit erneut versuchen - Aktiviert das Senden von SYSLOG-Nachrichten für verworfene Pakete. Geben Sie die Häufigkeit ein, mit der die Nachrichten gesendet werden. Die Standardfrequenz beträgt 5 Sekunden. Der Bereich liegt zwischen 0 und 86.400 Sekunden.

· Never (Niemals): Deaktiviert SYSLOG-verworfene Paketmeldungen.

Schritt 5: Klicken Sie auf Apply, um die Änderungen vorzunehmen. Die Einstellungen werden definiert, und die aktuelle Konfigurationsdatei wird aktualisiert.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren